LINUX.ORG.RU

Взломана инфраструктура Matrix.org

 , ,


0

3

Крупнейший сервер Matrix — matrix.org — и его инфраструктура были подвергнуты хакерской атаке, выявившей проблемы в их безопасности. Пользователем matrixnotorg на Github были созданы тикеты, описывающие проблемы, существующие в инфраструктуре matrix.org, и их возможное решение.

Доступ к инфраструктуре был получен через «дыру» в устаревшей версии Jenkins — системе непрерывного развёртывания, которую использует matrix.org.

По заявлению matrix.org, репозитории и их Docker Hub не скомпрометированы.

>>> Подробности

Ответ на: комментарий от woops

Заботишься о приватности своей переписки — используешь Signal.

И в определенный момент обнаруживаешь всю свою переписку в открытом доступе из-за очередного XSS в сраном электроне. Нафиг-нафиг, лучше уж XMPP.

balsoft ()
Ответ на: комментарий от balsoft

Те же яйца, только в профиль. XSS или SQL-инъекция - какая разница, если всё равно можно remote code execution делать?

О чем и речь. Ошибки и уязвимости бывают в любом софте.

Вот только некоторый софт концептуально несовместим с приватностью и вектор атак на него гораздо шире. Для массовой слежки в таком случае и атаковать особо ничего не нужно, раз бóльшая часть переписки и так в открытом виде передается и/или хранится.

woops ()
Ответ на: комментарий от balsoft

жаль что инфраструктура самого популярного сервера дырявая

XMPP имеет сейчас пользователей в 10 раз больше чем у матрицы. Матрица не популярная в торе и у безопасников.

varvar ()
Ответ на: комментарий от woops

Вы предлагаете IRC-каналы тоже шифровать? Не нужно пихать шифрование куда не надо, потом легко потерять важные данные вместе с ключиком. У меня на матриксе вся личная переписка шифрованная, так что пусть хоть жёсткие диски из matrix.org вытаскивают, а для публичных чятиков и так сойдет.

balsoft ()
Последнее исправление: balsoft (всего исправлений: 1)
Ответ на: комментарий от balsoft

Как показал этот взлом, могут. Вся шифрованная переписка осталась шифрованной даже после полной компроментации сервера.

По доброй воле хакера. Хакер мог без проблем компроментировать веб-версию риота и дешифровать всю сеть матрицы. Он это не сделал лишь по лени.

varvar ()
Ответ на: комментарий от balsoft

Тролл-мод

* Самого популярного сервера matrix

Единственного популярного сервера матрицы

Федеративная модель матрицы не выдерживает критики. Сервера просто не пригодны для федерации (слишком дорого содержать большой сервер). Да и вся матрица существует лишь пока есть один центр, потом будет много форков, которые будут несовместимы с друг другом. То есть все что втирают разработчики матрицы это бред, для дойки денег с наивных инвесторов.

varvar ()
Ответ на: комментарий от balsoft

. У меня на матриксе вся личная переписка шифрованная, так что пусть хоть жёсткие диски из matrix.org вытаскивают, а для публичных чятиков и так сойдет.

Если твой собеседник ползовался веб версией, то можно сказать у тебя нет шифрования вообще. В веб версии можно переть ключи

varvar ()
Ответ на: комментарий от woops

В веб версиях шифрование не нужно, так ка это понижает безопасность. Пихать везде шифрование это глупый и опасный путь, который создает лишь мнимую безопасность вместо реальной

varvar ()
Ответ на: комментарий от varvar

У приватных мессенджеров не бывает веб-версий.

Мнимую безопасность создают мессенджеры вроде Телеграма, которые всюду пиарятся как приватные и зашифрованные, а на деле лишь вводят пользователей в заблуждение и хранят абсолютное большинство сообщений плейнтекстом.

woops ()

И правильно сделано, что взломана, по-другому до этих пидорасов не достучишься, никоим другим способом не получишь ответ на простой, казалось бы, вопрос: чем не устраивает жаббир? Потереть за жизнь — работает, потереть за вещества, заказать безопасно и т.п. — работает, пользуйтесь, что еще? А ничего больше и не нужно ведь.

anonymous ()
Ответ на: комментарий от Iron_Bug

так матрикс опенсорсен. чего там компрометировать? те, кому нужна безопасность, публичные сервера не юзают.

Просто по факту Матрица себя заявляет как децентрализованный мессенджер, но в реальности все сидят на одном сервере и клиенте. Теперь взломали казалось бы всего лишь один сервер, а получается так что взлом охватил всю сеть. Даже тот кто не сидел на матрикс.орг, ощутил взлом если его контакты был на том сервере Не все имеют время или возможности поднимать свои сервер, да и сама структура матрицы не способствует поднятию публичных серверов.

Админы говорят про 10 гб памяти на серверах с 50 юсеров, это бешенные деньги. Публичные серверы могут поднять лишь у кого большой кошелек и он мать тереза. Донаты такие не соберешь.

В XMPP поднять может любой школьник, сэкономя на завтраках. На впс по паре долларов гоняют сервера с тысячими людей и даже особо успешные умудрятся ловить проффит на донатах. Поэтому XMPP серверов тысячи и примерно одинаковые по размеру.

Другая вещь которая не способствует децентрализации в матрице, то что официальный клиент по-умолчанию выставляет сервер матрикс.орг. Админы жалутся что поднимают сервер матрица, а люди которых пригласили все равно уходят на матрикс.орг

В этоге получается нет заявленной разрабами децентрализаций, а только фикция.

Существует предположение что сама матрица стала децентрализованной, лишь потому что у разрабов стало нехватать денег на поддержание сервера. Ну вот и они выбрали этакую маркетинговую модель.

Сейчас чаты в матрице практически пустые, по два человека, но в них показывают тысячи людей, которые туда раз зашли и вообще левых людей с транспортов.У инвесторов был инфаркт, если они узнали реальную статистику в чатах.

Даже само название выбрано для хайпа. Для ассоциаций с фильмом. Бизнес модель разработчиков матрицы, разводить лохов-инвесторов на деньги. По сути они не чего выдающиего не сделали, кроме того что засунули страницы чатов со звонками в хромиум. Электрон из коробки поддерживает все эти фичи, если только немножко допилить, а вот с самой серверной часть и протоколом разрабы облажались по-полной.

Кстати разрабы матрицы вполне могут использовать и XMPP сервера для Риота, но они не делают это для того чтобы не потерять деньги от инвесторов. Небольшой допил XMPP клиентов и сервера, сделает матрицу в XMPP за пару месяцев и с меньшими денежными затратами.

Но они будут никогда это делать, так как сейчас они разработчики волшебного, уникального, подконтрольного велосепеда, а так они будут просто никому ненужные херы с горы. Им невыгодна реальная децентрализация

varvar ()
Ответ на: комментарий от varvar

ну какбэ он не децентрализованный совсем. он федеративный. или как там оно обзывается. сервера там всё равно есть. а что кто-то не хочет поднимать свой сервер - это не проблема мессенджера. сервер открыт, бери и пользуйся.

у матрикса проблема не в протоколе, а в реализации. сервер у них так обозначен, как «демонстрационная реализация». написан он на говне. то есть, на пистоне, емнип. ну и чего ожидать от пистона? естессна, десять гигов - не предел жручести для столь тупого язычка. напиши то же самое на сишечке и будет десять метров. это не значит, что xmpp крут. просто xmpp писали ещё те, кто писал на сишечке. отсюда и профит.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

Prosody написан на lua. Это не подходящий язык для написания подобных серверов, но тем не менее даже prosody может выдержать несколько тысяч соедений без особых затрат. Протокол матрицы создан хипстерами. Они включают в него все модные фичи, не заботясь о маштабируемости. Федерация это не только модно и круто, но и высокие нагрузки.

Представим что количество серверов матрицы выросло до пары десятков тысяч и они все не с того, не с сего начинают стучаться на твой «приватный» сервер и заваливать его спамом. XMPP и почтовые сервера готовы к таким нагрузкам и ситуация бональная. В матрице получаем отказ в обслуживании.

varvar ()
Ответ на: комментарий от varvar

я читала протокол матрицы. ничего особо сложного в нём нет. ни для реализации, ни для потребления ресурсов. сервер на луа для «нескольких тысяч соединений» - ты эти сказки для нубов оставь :)

внезапно, приватный сервер может быть защищён и никто левый в него не стучится. а от обычного дидоса никто не защищён. до уровня приложений есть куча уровней, на которых фильтруется трафик. само приложение чаще всего вообще не способно бороться с такими атаками.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от Iron_Bug

https://juick.com/vt/2935155

СЯУ, что оказывается в протоколе Matrix официальный Riot-клиент долбит сервер GET-запросами по 10 раз в секунду. Действительно, чего это у них сервер плохо работает? Совершенно непонятно!

varvar ()
Ответ на: комментарий от varvar

клиент так написан. и что? в протоколе вовсе не обязательно долбить. я пока в телекоме работала - насмотрелась дурных клиентов, которые засирают AP своей безумной активностью. таких очень и очень много. но протоколы тут ни при чём.

и снова я повторю о фильтрации трафика.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

внезапно, приватный сервер может быть защищён и никто левый в него не стучится.

Достучится, если открыта федерация

а от обычного дидоса никто не защищён

Это не дудос, а обычная ситуация со спамом и флудом в XMPP

сервер на луа для «нескольких тысяч соединений» - ты эти сказки для нубов оставь :)

CryptoCat использует просоди. После того как его использовал сноуден, на него налетели несколько тысяч человек Жуйка тоже работает на просоди. Yax.im примерно 1500 в онлайне, трашсервер и т.д Даже на луа все работает

varvar ()
Ответ на: комментарий от varvar

так федерация не нужна же. если ты хочешь приватности - какая, нах, федерация? тут либо то, либо другое. хотя если захотеть - можно и на уровне федерации сделать соединение по клиентским сертификатам и будет распределённая защищённая сеть.

я не знаю ничего из того, что ты понаписал. мне без разницы, как оно работает и работает ли вообще. я тебе объясняю, что это не проблемы протокола. это проблемы реализации и настройки сети.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от varvar

Они заявляли о 80 000 человек в онлайне на Prosody

Как им это удалось непонятно, но пара тысяч человек на Prosody вполне влезут и не будут использовать тонны мегабайт рамы и CPU

varvar ()
Ответ на: комментарий от Iron_Bug

так федерация не нужна же. если ты хочешь приватности - какая, нах, федерация?

Как будешь контактировать с тем у кого другой сервер?

тут либо то, либо другое. хотя если захотеть - можно и на уровне федерации сделать соединение по клиентским сертификатам и будет распределённая защищённая сеть.

Обмениваться сертификатами серверов перед добавления контакта. Юзерофрендли. Не защищай этот матричный велосепед) Это бесполезно

varvar ()
Ответ на: комментарий от varvar

с точки зрения программирования не проще. точно так же. собственно, особой разницы нет. но в xmpp данные чуть жирнее: там много лишней информации в тегах и xml вообще всегда геморно обрабатывать.

Iron_Bug ★★★★ ()

Эскалацию атаки также можно было остановить предоставляя разработчикам только необходимые привилегии, а не полный root-доступ на всех серверах.

Разрабы неизлечимо больны! RIP matri

anonymous ()

Пользуясь случаем, спрошу. Почему народ не поднимает серваки Wire? Сделали же уже возможность самому запустить продакшен сервер даже почти с отвязкой от амазона. И вообще почему вайр непопулярен? Потому что там публичных чатов с тысячами людей нет, наверное? А так то все шифровано, отличные клиенты на мобилку

anonymous ()